サイバー攻撃を受けていても気づかない？ 攻撃発生～発覚まで平均で1年以上かかっている！【CSC調べ】

サイバーセキュリティクラウド（CSC）は、「サイバー攻撃の発生から発覚・公表までの日数に関する調査レポート」を発表した。2022年1月1日から2023年11月30日までに公表された不正アクセスに関する個人情報流出事案をもとに調べている。

サイバー攻撃発生～発覚まで平均397日、発覚～公表まで平均77日

法人や団体がサイバー攻撃を受けた「攻撃発生」から、攻撃に気づいた「攻撃発覚」までにかかる日数は、平均で397日となった。これは、2020年9月から2021年8月までを対象とした過去調査と比べると、48日長期化していた。また、「攻撃発覚」から「公表」までには平均で77日を要しており、過去調査と比較すると5日短くなっていた。

攻撃発生から攻撃発覚までの期間を「1年未満」と「1年以上」に分類したところ、「1年以上」の割合は43.2%で、過去調査より11.4%増加していた。発覚の期間までが長期化している要因として、未知の脆弱性（Zero-Day）を利用した攻撃により、脆弱性が検出されにくいことが挙げられる。

さらに、「攻撃発覚」から「公表」までの期間を分類したところ、1カ月以上かかっている事案は合計で57.0%にのぼった。

「攻撃発生」から「攻撃発覚」までに要する期間を上場企業・非上場企業で比較したところ、上場企業が平均103日だったのに対し、非上場企業は平均647日と大きな差があった。また「攻撃発覚」から「公表」までに要する期間をみると、上場企業では37日・非上場企業では111日となった。

調査概要

• 【調査期間】2022年1月1日〜2023年11月30日
• 【調査対象】上記期間までに公表された法人・団体における不正アクセスに関する被害規模1千件以上の主な個人情報流出事案（92件）